Piratas informáticos respaldados por el gobierno ruso han vulnerado las redes de múltiples contratistas de defensa de Estados Unidos en una campaña sostenida que ha revelado información sensible sobre la infraestructura de comunicaciones para el desarrollo de armas de Estados Unidos, dijo el gobierno federal el miércoles.
La campaña comenzó a más tardar en enero de 2020 y ha continuado hasta este mes, según un aviso conjunto del FBI, la Agencia de Seguridad Nacional y la Agencia de Ciberseguridad y Seguridad de Infraestructuras. Los piratas informáticos han estado apuntando y hackeando con éxito a los contratistas de defensa autorizados, o CDC, que apoyan los contratos para el Departamento de Defensa de EE.UU. y la comunidad de inteligencia.
“Acceso persistente”, “conocimiento significativo”
“Durante este período de dos años, estos actores han mantenido un acceso persistente a múltiples redes de los CDC, en ciertos casos durante al menos seis meses”, escribieron los funcionarios en el aviso. “En los casos en los que los actores han obtenido con éxito el acceso, el FBI, la NSA y el CISA han observado la exfiltración regular y recurrente de correos electrónicos y datos. Por ejemplo, durante un compromiso en 2021, los actores de la amenaza exfiltraron cientos de documentos relacionados con los productos de la compañía, las relaciones con otros países y el personal interno y los asuntos legales”.
Los documentos exfiltrados han incluido información no clasificada de propiedad del CDC y de exportación controlada. Esta información proporciona al gobierno ruso “una visión significativa” del desarrollo de las plataformas de armamento de Estados Unidos y de los plazos de despliegue, los planes para la infraestructura de comunicaciones y las tecnologías específicas utilizadas por el gobierno y el ejército de Estados Unidos. Los documentos también incluyen correos electrónicos no clasificados entre los empleados y sus clientes del gobierno que discuten detalles de propiedad sobre la investigación tecnológica y científica.
El aviso decía:
Estas continuas intrusiones han permitido a los actores adquirir información sensible y no clasificada, así como tecnología patentada por el CDC y controlada para la exportación. La información adquirida proporciona información importante sobre los plazos de desarrollo y despliegue de las plataformas de armamento estadounidenses, las especificaciones de los vehículos y los planes de infraestructura de comunicaciones y tecnología de la información. Al adquirir documentos internos y comunicaciones por correo electrónico de propiedad exclusiva, los adversarios pueden ser capaces de ajustar sus propios planes y prioridades militares, acelerar los esfuerzos de desarrollo tecnológico, informar a los responsables políticos extranjeros de las intenciones de EE.UU. y apuntar a posibles fuentes de reclutamiento. Dada la sensibilidad de la información ampliamente disponible en las redes no clasificadas de los CDC, el FBI, la NSA y la CISA prevén que los actores cibernéticos patrocinados por el Estado ruso seguirán apuntando a los CDC en busca de información de defensa estadounidense en un futuro próximo. Estas agencias animan a todos los CDC a aplicar las mitigaciones recomendadas en este aviso, independientemente de la evidencia de compromiso.
Spear-phishing, routers hackeados y más
Los piratas informáticos han utilizado diversos métodos para vulnerar sus objetivos. Los métodos incluyen la recopilación de contraseñas de red a través de spear-phishing, violaciones de datos, técnicas de cracking y la explotación de vulnerabilidades de software sin parches. Después de conseguir un punto de apoyo en una red objetivo, los actores de la amenaza escalan sus derechos de sistema mapeando el Directorio Activo y conectándose a los controladores de dominio. A partir de ahí, son capaces de exfiltrar las credenciales de todas las demás cuentas y crear otras nuevas.
Estas técnicas y otras parecen haber tenido éxito.
“En múltiples casos, los actores de la amenaza mantuvieron el acceso persistente durante al menos seis meses”, afirma el aviso conjunto. “Aunque los actores han utilizado una variedad de malware para mantener la persistencia, el FBI, la NSA y el CISA también han observado intrusiones que no se basan en el malware u otros mecanismos de persistencia. En estos casos, es probable que los actores de la amenaza se basaran en la posesión de credenciales legítimas para la persistencia, lo que les permitió pivotar a otras cuentas, según fuera necesario, para mantener el acceso a los entornos comprometidos”.
El aviso contiene una lista de indicadores técnicos que los administradores pueden utilizar para determinar si sus redes han sido comprometidas en la campaña. Continúa instando a todos los CDC a investigar la actividad sospechosa en sus entornos empresariales y de nube.
[content-egg module=Youtube template=custom/simple]Lo más visto del mes en: Informática
Jessica Ávila
Me apasiona la música y todo lo relacionado con lo audiovisual desde muy joven, y crecí en esta carrera que me permite utilizar mis conocimientos sobre tecnología de consumo día a día. Puedes seguir mis artículos aquí en Elenbyte para obtener información sobre algunos de los últimos avances tecnológicos, así como los dispositivos más sofisticados y de primera categoría a medida que estén disponibles.
